在線咨詢
聯系電話
400-182-9001
置頂
信息安全持續爆發,百萬年薪請“黑客”?
來源: 發布時間:2020-07-23
坊間一直傳言,互聯網巨頭阿里之所以不會被黑客攻擊,是因為凡是有高技術的“黑客”攻擊完阿里系統之后都會被收入麾下。以至于留下了廣為流傳的段子:
一位15歲就考入西安交大少年班的天才少年,在2005年其20歲時參加了阿里巴巴的實習面試。在展示個人能力環節,其略顯靦腆地在電腦上敲了幾行代碼,就在面試官不以為然的時候,整個阿里巴巴內部網絡同時癱瘓!瞬間驚呆了面試官,最終馬云下了死命令,怎么也得留住他。于是阿里用500萬的年薪將這個天才少年留了下來。而這位靦腆的天才少年就是當年號稱中國最頂尖“黑客”之一。
近期,當事人出面辟謠并表示,網絡流傳的段子是假的,阿里不會高新聘請黑阿里網站的人,反而會交給警察。
難以逃脫的信息安全漏洞
“生活在一個透明的世界”
“經常被電話騷擾、推銷產品”
“個人信息基本不存在隱私”
對于個人而言,這就是我們所能感受到的信息安全威脅;
而對于企業、組織、國家來說,信息安全意味著信譽降級、經濟損失甚至是系統癱瘓退出市場。
2019年出現的部分重大的信息安全事件:
01
2019年1月20日凌晨,國內一家電商平臺被曝出現重大BUG,用戶可領100元無門檻券。官方表示,有黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券,進行不正當牟利
02
2019年2月16日,一網友在微博發布視頻稱,某APP疑似會獲取用戶的截圖和照片并上傳。經排查,發現安卓系統上的APP5.0.5以后版本存在該問題,并已定位問題且下線修復,該功能屬于需求錯誤開發
03
2019年3月22日一份報告指出,Facebook在沒有加密的情況下存儲了數億用戶的密碼,并且以明文的方式展示給數萬名公司職員。據調查,此事件直接影響可能多達6億用戶。
04
2019年6月15日,《紐約時報》發表報道稱,美國政府官員承認,早在2012年就在俄羅斯電網中植入病毒程序,可隨時發起網絡攻擊
05
2019年7月,美國銀行第一資本金融公司披露,一名黑客獲取了逾1億名顧客和潛在顧客的個人信息,包括姓名、地址、電話號碼和生日
06
2019年7月,南非約翰內斯堡的City Power電力公司遭受勒索病毒攻擊,該公司的應用程序、數據庫都被黑客進行了惡意加密,導致對外服務基本陷入癱瘓
從以上案例可以看出,無論是互聯網企業,還是政府都難以逃脫高度信息網絡化帶來的信息安全問題。而信息安全問題一方面來自外部的惡意攻擊,還有一部分原因是系統本身出現漏洞。
網絡信息安全態勢緊張,成本增加
廣義的信息安全是指保護資源免受各種類型威脅、干擾和破壞,即保證信息的機密性、完整性與可用性。據公開數據,2019年上半年,國家互聯網應急中心(CNCERT)自主監測發現約4.6萬個針對我國境內網站的仿冒頁面,境內外約1.4萬個IP地址對我國境內約2.6萬個網站植入后門,同比增長約1.2倍。
網絡信息安全態勢緊張,如何防止信息外泄成為全民互聯網時期重要議題。
面對嚴峻的信息安全現狀,一度出現文章開頭的傳言,大型互聯網企業不惜重金將所謂的“黑客”收入麾下,以增強自身的技術防御能力,識別出每天上億次的惡意攻擊。
但是,此方法僅僅是“段子”,對國家、企業系統進行破壞等于犯罪行為,聘請更高層級的技術人員在多數時候治標不治本。
一個會被輕易攻擊的系統,是一個有嚴重漏洞的系統,至少其系統管理是不規范的,而全世界的公司在整個管理系統中正花費著更多的成本。根據IBM最新的數據泄露年度成本研究,平均數據泄露成本現在高達392萬美元,這些費用在過去五年里增加了12%。
市場上漲,防范未然
網絡信息安全頻繁出現的同時也促進信息安全產業的發展。“十三五”以來,我國網絡安全產業保持高速增長,2019年產業規模超過600億元,年增長率超過20%,明顯高于國際8%的平均增數,保持健康的發展態勢。
另外,隨著一系列法律法規的實施,信息安全管理的規范性將日益凸顯。
1.第十三屆全國人大常委會第十四次會議正式通過《密碼法》;
2.《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護安全設計技術要求》三項國家標準正式發布;
3. 工信部、教育部、生態環境部等十部門聯合發布《加強工業互聯網安全工作的指導意見》;
4.《數據安全管理辦法(征求意見稿)》已經由國家互聯網信息辦公室發布;
多數時候,信息泄露所呈現的不僅僅是經濟糾紛,更多的是大眾對企業信用的懷疑。對企業、政府而言,面對信息安全管理,需要的不僅是高端的技術人才,也需要規范管理,及時更新發現漏洞。在信息安全管理方面,英國標準ISO27000已經成為世界上應用最廣泛與典型的信息安全管理標準之一。
據了解,ISO27000管理體系認證是以信息安全方針、信息安全組織、人力資源安全、資產管理、訪問控制、加密、物理和環境安全、操作安全、通信安全、系統的獲取、開發和維護、供應關系、信息安全事件管理、信息安全方面的業務持續管理等為內容對企業信息安全管理進行評估和持續改進。
根據 ESI Thoughtlab 發布的研究報告顯示,公司在網絡安全中持續增加的投入可以產生 179% 的超高投資回報(ROI)。因此,企業、組織通過第三方認證建立起標準規范的信息安全管理體系,對風險評估結果建立具有針對性的規范管理,通過認證向政府及行業主管部門證明組織對相關法律法規的符合性,能夠最大程度減弱發生信息安全問題時的負面影響,減小損失。